Описание
Уязвимость библиотеки для работы с растровой графикой Pillow связана с неправильной обработкой пробелов во временных именах путей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Uploadcare, LLC
АО «ИВК»
АО "НППКТ"
Наименование ПО
Debian GNU/Linux
Astra Linux Special Edition
Pillow
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Версия ПО
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 9.0.1 (Pillow)
- (АЛЬТ СП 10)
до 2.10 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)
Возможные меры по устранению уязвимости
Для Pillow:
использование рекомендаций производителя: https://pillow.readthedocs.io/en/stable/releasenotes/9.0.1.html#security
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-24303
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD
Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 80%
0.01316
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.1
ubuntu
почти 4 года назад
Pillow before 9.0.1 allows attackers to delete files because spaces in temporary pathnames are mishandled.
CVSS3: 7.4
redhat
около 4 лет назад
Pillow before 9.0.1 allows attackers to delete files because spaces in temporary pathnames are mishandled.
CVSS3: 9.1
nvd
почти 4 года назад
Pillow before 9.0.1 allows attackers to delete files because spaces in temporary pathnames are mishandled.
CVSS3: 9.1
debian
почти 4 года назад
Pillow before 9.0.1 allows attackers to delete files because spaces in ...
EPSS
Процентиль: 80%
0.01316
Низкий
9.1 Critical
CVSS3
9.4 Critical
CVSS2